最近,腾讯公司通过大数据安全能力和反诈骗实验室TRP AI反病毒引擎发现了一种新型的作恶方式,即通过SDK控制用户手机,偷偷进行一些下载应用、广告刷量、APP拉新等活动。
SDK(Software Development kit)就是软件开发包,可以理解为一种组装模块,随着移动互联网蓬勃发展,程序员为了编程的时候提高效率节省时间,不可能每个小模块都去自己编,就会采用一些模块,比如造手机的时候芯片用高通,屏幕买三星,摄像头买索尼,不用自己再重新生产芯片、屏幕、摄像头,组装起来就成了一个手机。APP的程序也是这样,采用特定功能的SDK也叫软件开发包来帮其实现种种的程序小功能。
腾讯守护者计划安全专家黄汉川介绍了两个关于SDK作恶的案例:
第一个例子是2018年腾讯公司通过安全能力发现有一款寄生推的SDK控制个人手机刷量作恶,涉及300多款APP应用,潜伏在2000多万的手机用户里面,百万量级用户的APP都集成了这款寄生推的SDK。这款集成SDK可以通过后门云控开启恶意功能,通过SDK预留的后门动态更新下发恶意程序代码包,root用户手机,植入应用到用户的手机设备里面,进行恶意广告推广或下载一些应用拉活来谋取灰色利益,几十万用户被感染了这种恶意代码包。
第二个例子是2019年发现的黑产,恶意SDK影响的范围更大,集中在上千款APP里面。用户从应用市场去下载APP一般认为是很安全的,没有任何防范,实际上在不知不觉中被影响到了,轻易影响千万以上的用户甚至上亿用户。潜伏一段时间之后恶意开发者服务器就会通过后门下命令,通过多层下载并加载恶意子包,恶意子包可以做一些刷量点击功能。周杰伦和蔡徐坤的流量之争就可能有黑产控制个人手机免费当肉鸡帮它刷量,人工需要花很大的成本,这里直接免费帮他打工,通过服务器下命令帮黑产刷量,用户完全不知情的情况下后台启动去做。
总结这两个案例的具体作恶手法就是:恶意开发者开发了恶意的SDK,通过和APP签合同或者免费下载的方式,和APP合作。APP在不知情的情况下把它融到开发程序里面去,又通过应用市场触达用户。恶意SDK潜伏一段时间之后,恶意开发者又给SDK下达任务,通过后门进行广告、网页刷量行为,这个行为用户是没有感知的。
而要防范这种作恶方式,则需要政府规制、社会监督和企业履责三管齐下。政府制定相应的法律法规,规定什么可以做,什么不可以做,制定相应SDK的安全标准,设计SDK的安全原则,还有评估方法和评估手段。社会监督则需要有能力有条件的互联网公司、安全厂商来辅助社会政府发现这些恶意行为。
对于企业来说,链条上的各个部分大家都要做好自己的责任,SDK的开发者就要避免去使用具有云控的方式动态加载的方式做APP,APP开发者遵循合理化、必要化、最小化的三化原则谨慎使用第三方的SDK插件,对第三方SDK进行全面的安全评估,特别警惕具有后台云控功能控制代码的SDK。应用市场加强对SDK的识别检测能力,对已经发现含有恶意SDK的APP下架处理。用户安装安全软件防止这种危害。
来源: TechWeb 作者:周小白